ESET Gateway Security
Contents
1. n de Squid etc squid squid conf cache peer 192 168 1 10 parent 8080 0 no query default acl all src 0 0 0 0 0 0 0 0 never_direct allow all Al agregar estas l neas a la configuraci n Squid usar HTTP proxy para atender la direcci n IP 192 168 1 10 en el puerto 8080 como proxy padre Todos los pedidos procesados por Squid ser n enviados a este destino Las dem s l neas de comando definen el comportamiento de Squid para enviar notificaciones de error en caso de que el proxy padre no est funcionando o no se pueda localizar Existe una configuraci n alternativa de Squid para que intente realizar conexiones directas cuando el proxy padre no se puede encontrar En este caso los par metros que habr que insertar en el archivo de configuraci n de Squid son los siguientes cache peer 192 168 1 10 parent 8080 0 no query prefer_direct off Para que se active la configuraci n reci n creada reinicie el daemon de ESETS ESET Gateway Securit 5 3 Manejo de Grandes Objetos HTTP Bajo condiciones normales esets_http maneja cada objeto transferido de manera que el objeto primero se env a desde el servidor HTTP o usuario a esets_http en segundo lugar se analiza para detectar infiltraciones y por ltimo se transfiere al usuario HTTP o servidor res pectivamente En cuanto a los archivos grandes grandes objetos cuyo tiempo de transferencia excede el tiempo de espera definido por el par metro lo timeout ste no es un escenario2. ade cuado ya que el tiempo de espera del cliente e incluso la impaciencia del usuario pueden provo car la interrupci n o cancelaci n de la transferencia del objeto En consecuencia deben imple mentarse otros m todos para procesar los grandes objetos 5 3 1 M todo de an lisis diferido El sistema esets_http implementa el m todo de an lisis diferido est ndar para el manejo de archivos grandes Esto significa que si el objeto transferido es demasiado grande esets_http empieza a enviar el objeto en forma transparente a un punto de llegada HTTP disponible usuario o servidor Cuando la ltima parte del objeto llega a esets_http el objeto es anali zado para detectar infiltraciones Si se detecta que el objeto est infectado la ltima parte de l para la versi n actual de ESET Gateway Security la ltima parte son los ltimos 4KB de los datos del objeto no ser enviada al punto de llegada disponible y la conexi n con dicho punto de llegada ser interrumpida Al mismo tiempo se enviar una notificaci n al administrador de la Puerta de Enlace con la informaci n relevante sobre la transferencia de un archivo peligroso Recuerde que la notificaci n s lo ser enviada en el caso de que la transferencia de datos se realice desde el servidor al usuario En este caso el URL del objeto inicial se almacena en el cach de esets_http para bloquear nuevas transferencias si se vuelve a solicitar En este punto nos gustar a destacar qu
3. criterios definidos por el documento FHS Est ndar de Jerarqu a de Sistema de Ficheros definido como parte de la Base Est ndar para Linux requerido por la certificaci n RedHat Ready y Novell SuSE Ready Esto significa que el paquete RSR por ejemplo se instala como una aplicaci n suplementaria es decir el directorio principal de insta laci n es opt eset esets Daemon de ESETS programa residente Es el sistema principal de control y an lisis residente de ESETS esets daemon Directorio base de ESETS Es el directorio donde se guardan los m dulos ejecutables de ESETS que contienen por ejemplo bases de datos con firmas de virus En este documento utilizaremos la abreviaci n BASEDIR para referirnos a dicho directorio La ubicaci n del directorio es la siguiente Linux var lib esets Linux RSR var opt eset esets lib BSD var lib esets Directorio de configuraci n de ESETS Es un directorio donde se guardan todos los archivos relacionados con la configuraci n de ESET Gateway Security En este documento utilizaremos la abreviaci n ETCDIR para referirnos a dicho directorio La ubicaci n del directorio es la siguiente Linux etc esets Linux RSR etc opt eset esets BSD usr local etc esets Archivo de configuraci n de ESETS Es el archivo de configuraci n principal de ESET Gateway Security La ruta absoluta del archivo es la siguiente ETCDIR esets cfg Directorio de archivos binarios de ESETS Es el directorio
4. de los clientes m s comunes por ejemplo los proxy cach Squid Proxy Cache SafeSquid y los navegadores web Mozilla Firefox Opera Netscape Konqueror En l neas generales cada cliente HTTP que utiliza la configuraci n manual del proxy padre colaborar con el m dulo esets_http En la secci n siguiente describimos la configuraci n manual de proxy de esets_http para Mozilla Firefox y para Squid Web Proxy Cache que son las aplicaciones m s comunes para clientes HTTP 5 2 1 Configuraci n manual de proxy para Mozilla Firefox La configuraci n manual de proxy HTTP para esets_http con Mozilla Firefox corresponde en l neas generales al sector izquierdo de la imagen 5 2 Recuerde que esta configuraci n le permite instalar ESET Gateway Security en cualquier lugar dentro de la red local incluyendo el servidor de puerta de enlace as como la computadora del cliente En el siguiente ejemplo configuraremos esets_http para que atienda el puerto 8080 de la computadora cuya direcci n IP de red local es 192 168 1 10 especificando los siguientes par metros dentro de la secci n http del archivo de configuraci n principal de ESETS agent_enabled yes listen_addr 192 168 1 10 listen_port 8080 Recuerde que el par metro listen_addr tambi n puede configurarse como el nombre del host visible desde la red local Si desea configurar Mozilla para que utilice esets_http deber seleccionar el men de edici n Edit en la
5. donde se guardan los archivos binarios relevantes de ESET Gateway Security En este documento utilizaremos la abreviaci n BINDIR para referirnos a dicho directorio La ubicaci n del directorio es la siguiente Linux usr bin Linux RSR opt eset esets bin BSD usr local bin ta lt ESET Gateway Security Directorio de archivos binarios del sistema de ESETS Es el directorio donde se guardan los archivos binarios del sistema relevantes de ESET Gateway Security En este documento utilizaremos la abreviaci n SBINDIR para referirnos a dicho directorio La ubicaci n del directorio es la siguiente Linux usr sbin Linux RSR opt eset esets sbin BSD usr local sbin Directorio de archivos con c digos objeto de ESETS Es el directorio donde se guardan los archivos con c digos objeto y bibliotecas relevantes de ESET Gateway Security En este documento utilizaremos la abreviaci n LIBDIR para referirnos a dicho directorio La ubicaci n del directorio es la siguiente Linux usr lib esets Linux RSR opt eset esets lib BSD usr local lib esets cap tulo 2 Terminolog a y abre Cap tulo 3 Instalaci n Este producto se distribuye como un archivo binario esets i386 ext bin donde ext es un sufijo dependiente de la distribuci n del SO Linux BSD es decir deb para Debian rpm para RedHat y SuSE tgz para otras distribuciones del SO Linux fbs5 tgz para distribuciones de FreeBSD 5 xx y fbs
6. dulos que sean descargados por otras computadoras deber n ser ubicados en la ruta de directorio Bi z ESET Gateway http serv base path nod_upd donde http serv base path es una ruta al directorio del servidor HTTP b sica ya que constituye el primer lugar donde la utilidad de actualizaci n busca los m dulos La segunda parte del proceso de actualizaci n consiste en la compilaci n de m dulos que el programa de an lisis de ESET Gateway Security carga desde los m dulos que se encuentran guardados en la r plica local Los m dulos de ESETS que suelen crearse son los siguientes un m dulo base nod32 000 un m dulo para soporte de archivos nod32 002 un m dulo de heu r stica avanzada nod32 003 un m dulo de an lisis de gusanos en archivos comprimidos nod32 004 un m dulo para utilidades de Windows nod32 005 y un m dulo para soporte de la tecnolog a ThreatSense NET nod32 006 Todos los m dulos mencionados son creados en el directorio BASEDIR Recuerde que ste es exactamente el mismo directorio desde donde el daemon de ESETS carga los m dulos por lo tanto puede redefinirse usando la opci n de configuraci n base dir en la secci n global o update del archivo de configuraci n de ESETS cap tulo 7 Actualizaci n del sistema de Seguridad de ESET Cap tulo 8 Cont ctenos Estimado usuario el prop sito de esta gu a es brindarle la informaci n necesaria sobre la instalaci n config
7. mecanismo se basa en las opciones de configuraci n de las acciones que se deber n realizar action on processe si es procesado action on infecte si est infectado action on uncleanable si es imposible desinfectar action on notscanne si no se pudo analizar adem s de la opci n de configuraci n que habilita el Anti Virus av enable Para mayor informaci n sobre las opciones consulte la p gina del manual esets cfg 5 Imagen 6 1 Esquema del mecanismo de la Pol tica para el Manejo de Objetos action on processed si es procesado confirmar posponer ignorar rechazar objeto no aceptado e anti virus habilitado NO S gt action on infected si est infectado action_on_uncleanable si es imposible desinfectar action on notscanned sino se pudo analizar confirmar posponer ignorar rechazar objeto no aceptado Pe objeto aceptado Cada objeto primero se maneja seg n la opci n de configuraci n action on processe si es procesado Si se elige accept confirmar el destino del objeto depender del estado de la opci n de configuraci n av enable anti virus habilitado Cuando se habilita av enable se procede al an lisis del objeto para detectar infiltraciones y se toman en cuenta las opciones de configuraci n action on infecte si est infectado action_on_uncleanable si es imposi ble desinfectar y action on notscanne si no se p
8. 6 tgz de FreeBSD 6 xx respectivamente Tenga en cuenta que el formato de archivo binario para Linux RSR es esets rsr i386 rpm bin Para instalar o actualizar el producto utilice el comando sh esets i386 ext bin En la variante del producto para Linux RSR utilice el comando sh esets rsr i386 rpm bin Como respuesta aparecer el Contrato de Licencia del producto para la aceptaci n por parte del usuario Una vez confirmado el Contrato de Licencia el paquete de instalaci n se ubica en el directorio activo actual y se imprime informaci n relevante sobre el paquete de instalaci n desinstalaci n o actualizaci n en la terminal Una vez que el paquete est instalado y el servicio principal de ESETS est en funciona miento en el SO Linux se puede observar su desempe o usando el comando ps C esets_daemon En caso de que el SO sea BSD se usa un comando similar ps ax esets_daemon grep esets_daemon Como respuesta ver el siguiente mensaje o uno similar PID TIY TIME CMD 2226 00 00 00 esets_daemon 2229 00 00 00 esets_daemon donde al menos dos procesos daemon de ESETS deben estar activos en segundo plano Uno de dichos procesos es el gestor de procesos y de hilos de ejecuci n del sistema El otro constituye el proceso de an lisis de ESETS at o ESET Gateway Security Cap tulo 4 Estructura del producto Una vez que el paquete del producto se ha instalado exitosamente llega el momento de familiarizarse c
9. Ger protegemos su mundo digital ESET Gateway Security Manual de instalaci n y documentaci n para el usuario Contenidos 1 Introducci n 2 Terminolog a y abreviaciones sssssscessesssesecssesseessesseessessseseesssesseesseneeees 5 3 Instala acne la 9 4 Estructura del producto sssssssssssnssnssnsnnenssnnsnsnnenssnnnnsnnsnnsnsnnnnnsnnsnennsnnnnen 11 5 Integraci n con los servicios de Puerta de Enlace de Interne t 15 5 1 Configuraci n transparente de proxy HTTP FTP 5 2 Configuraci n manual de proxy HTTP 5 2 1 Configuraci n manual de proxy para Mozilla Firefox 5 2 2 Configuraci n manual de proxy para SquidWeb Proxy Cache 5 3 Manejo de Grandes Objetos HTTP 5 3 1 M todo de an lisis diferido 5 3 2 T cnica de an lisis parcial 5 4 Plugin de ESETS para SafeSquid Proxy Cache 5 4 1 Pautas generales de uso 5 4 2 Instalaci n y configuraci n 6 Mecanismos importantes de ESET Gateway Security 23 6 1 Pol tica para el Manejo de Objetos 6 2 Configuraci n Espec fica de Usuario 6 3 Lista negra y lista blanca 6 4 Sistema de Env o de Muestras 7 Actualizaci n del sistema de Seguridad de ESET 7 1 Utilidad de actualizaci n de ESETS 7 2 Descripci n del proceso de actualizaci n de ESETS oae Ae ETE OE EENE EEA E 31 Ap ndice A Descripci n del proceso de configuraci n de ESETS 33 A 1 Configuraci n de ESETS para analiza
10. PHP est autorizada a modificar los t rminos aplicables al c digo cubierto creados seg n esta Licencia 6 Las redistribuciones en cualquier forma deben incluir la siguiente menci n Este producto utiliza el programa PHP disponible en forma gratuita en la p gina web lt http www php net software gt ESTE PROGRAMA SE PROPORCIONA A TRAV S DEL EQUIPO DE DESARROLLO DE PHP TAL CUAL Y SE RECHAZA CUALQUIER GARANT A EXPRESA O IMPL CITA INCLUYENDO PERO SIN LIMITACI N LAS GARANT AS IMPL CITAS DE COMERCIABILIDAD Y ADECUACI N PARA UN PROP SITO EN PARTICULAR EN NING N CASO EL EQUIPO DE DESARROLLO DE PHP O SUS COLABORADORES SER N RESPONSABLES DE CUALQUIER DA O DIRECTO INDIRECTO INCIDEN TAL ESPECIAL EJEMPLAR O CONSECUENTE INCLUYENDO PERO SIN LIMITACI N LA PROCU RACI N O SUSTITUCI N DE BIENES O SERVICIOS P RDIDA DE USO DATOS O BENEFICIOS O INTERRUPCI N DE NEGOCIO CAUSADO SIN EMBARGO Y EN CUALQUIER TEOR A DE RESPON SABILIDAD YA SEA EN CONTRATO RESPONSABILIDAD ESTRICTA O EXTRACONTRACTURAL INCLUYENDO LA NEGLIGENCIA U OTRAS EMERGENTES DEL USO DE ESTE PROGRAMA INCLU SO SI SE ADVIERTE SOBRE LA POSIBILIDAD DE DICHOS DA OS
11. Select a Section to Configure hasta encontrar la secci n ESET Gateway Security Luego ingrese las definiciones nuevas de las plantillas presione Add en la parte inferior de la secci n ESET Gateway Security y defina los siguientes par metros en la lista emergente Comment ESET Gateway Security blocking templates Profiles antivirus Infected template esets_infected Not scanned template esets_not_scanned Despu s de haber completado y confirmado la lista de plantillas abra la p gina Templates del men Config All encontrar el par metro Path que define la ruta al directorio de plantillas de SafeSquid de ahora en m s daremos por sentado que el par metro es opt safesquid templates Verifique que exista el directorio apropiado de lo contrario cr elo Para acceder a las plantillas predeterminadas de ESETS desde este directorio deber crear los accesos corres pondientes usando las siguientes l neas de comando shell ln s LIBDIR ssfi templates ssfi infected html opt safesguid ssfi infected html ln s LIBDIR ssfi templates ssfi not scanned html opt safesguid ssfi not scanned html Bi o ESET Gateway Security Cap tulo 6 Mecanismos importantes de ESET Gateway Security 6 1 Pol tica para el manejo de Objetos La Pol tica para el Manejo de Objetos ver imagen 6 1 es un mecanismo que permite tomar decisiones sobre los objetos analizados seg n el estado de su an lisis El
12. ar informaci n suplementaria opcional al equipo del laboratorio de virus de ESET usando las opciones de configuraci n samples_provider_mail y o samples _ provider country Esta informaci n nos resultar til para formarnos una visi n global sobre la propagaci n de infiltraciones a trav s de Internet Para obtener informaci n detallada sobre el Sistema de Env o de Muestras consulte la p gina del manual esets_daemon 8 Cap tulo 7 Actualizaci n del sistema de Seguridad de ESET M 7 1 Utilidad de actualizaci n de ESETS Para que ESET Gateway Security permanezca efectivo es necesario mantener al d a la base de datos de virus La utilidad de actualizaci n esets_update fue desarrollada con dicho prop sito consulte la p gina del manual esets_update 8 para m s detalles Si desea activar la actualizaci n debe definir las opciones de configuraci n username nombre de usuario y password contrase a en la secci n update del archivo de configuraci n de ESETS Recuerde que en caso de que su acceso a Internet se realice por intermedio de un HTTP proxy adem s deber especificar las opciones de configuraci n adicionales de direcci n proxy addr puerto proxy por y en forma opcional el nombre de usuario proxy username y la contrase a proxy passwor correspondientes Para realizar una actualizaci n ingrese el comando SBINDIR esets_update Para otorgarle al usuario la mayor segur
13. barra del men y luego las preferencias Preferences en versiones anteriores de Mozilla habr que seleccionar el men de herramientas Tools y luego las opciones Options Luego se leccione la configuraci n de conexi n Connection settings que encontrar bajo la secci n de configuraci n general General y elija la opci n de configuraci n manual de proxy Manual Proxy cap tulo 5 Integraci n con los servicios de Puerta de Enlace de Internet 17 E Configuration Finalmente habr que completar los campos de HTTP Proxy con el nombre del host o su direcci n IP y el puerto Port correspondiente con el puerto atendido por esets http en este ejemplo se especificar la direcci n IP 192 168 1 10 y el puerto 8080 Para que se active la configuraci n reci n creada reinicie el daemon de ESETS Es importante tener en cuenta que esta configuraci n no es la m s apropiada para redes con un gran n mero de computadoras de usuarios La raz n es que en este caso el cach HTTP si hay uno est presente s lo en el cliente por lo que el mismo objeto inicial se analiza varias veces si es solicitado por diferentes clientes 5 2 2 Configuraci n manual de proxy para Squid Web Proxy Cache La configuraci n manual de proxy HTTP para esets_http con Squid Web Proxy Cache co rresponde en l neas generales al sector derecho de la imagen 5 2 La diferencia m s significativa con las dem s configuraciones descrip
14. bjetos procesados por el proxy cach SafeSquid usando una interfaz especial desarrollada por el personal de SafeSquid con dicha finalidad Cuando el plugin accede al objeto ste es analizado por el daemon de ESETS Si el objeto est infectado SafeSquid lo bloquea y a cambio env a un p gina con una plantilla predeterminada Recuerde que esets_ssfi so es soportado por las versiones 4 0 4 2 y superiores de SafeSquid Advanced 5 4 2 Instalaci n y configuraci n En la siguiente explicaci n suponemos que SafeSquid est instalado en el directorio opt safesquid Para integrar el m dulo deber crear accesos desde el directorio de m dulos de SafeSquid a las ubicaciones de instalaci n apropiadas del paquete de ESET Gateway Security ln s LIBDIR ssfi esets_ssfi so opt safesguid modules esets ssfi so ln s LIBDIR ssfi esets_ssfi xml opt safesquid modules esets ssfi xml No obstante una vez que la instalaci n del plugin SafeSquid est lista todav a habr que hacer ciertos retoques finales en la configuraci n de SafeSquid A continuaci n configuraremos SafeSquid para utilizar las plantillas predeterminadas de ESETS que bloquear n los objetos en caso de que est n infectados o no puedan ser analizados Ingrese a la interfaz de administraci n de red de SafeSquid SafeSquid Web Administration Interface seleccione el men Config de la p gina principal de la interfaz y vaya leyendo las secciones que aparecen en
15. c digo fuente deben retener la advertencia de derechos de autor expresada arriba esta lista de condiciones y el descargo expresado a continuaci n 2 La redistribuci n en formato binario debe reproducir la advertencia de derechos de autor expresada arriba esta lista de condiciones y el descargo expresado a continuaci n en la documentaci n y u otros materiales que se proporcionen junto con la distribuci n 3 El nombre PHP no debe utilizarse para respaldar o promocionar productos derivados de este programa sin el permiso previo por escrito Para conseguir el permiso escrito por favor p ngase en contacto con group php net 4 Los productos derivados de este programa no podr n llamarse PHP ni contenerlas siglas PHP en su nombre sin el permiso por escrito de group php net Ud podr indicar que su programa funciona en conjunto con PHP llam ndolo X para PHP en lugar de llamarlo X de PHP o XPHP 5 El grupo de PHP PHP Group puede publicar versiones nuevas o modificadas de la licencia con cierta frecuencia Cada versi n tendr un n mero de versi n diferente Una vez que un c digo cubierto se haya publicado bajo una versi n particular de la licencia Ud podr conti nuar us ndolo bajo los t rminos de dicha versi n Tambi n podr optar por utilizar el c digo cubierto bajo los t rminos de cualquiera de las versiones posteriores de la licencia publicadas por el grupo de PHP Ninguna persona ajena al grupo
16. de este cap tulo describiremos todos los componentes relacionados a la configuraci n Tambi n recomendamos la p gina del manual esets cfg 5 una fuente de infor maci n esencial sobre la configuraci n de ESETS Una vez que el producto se encuentra correcta mente instalado todos sus componentes para la configuraci n se guardan en el directorio de con figuraci n de ESETS El directorio est formado por los siguientes archivos ETCDIR esets cfg Este es el archivo de configuraci n m s importante ya que preserva la mayor parte del fun cionamiento del producto Luego de explorar el archivo notar que est creado por varios par me tros distribuidos dentro de secciones Los nombres de las secciones aparecen entre corchetes ESET Gateway Security En el archivo de configuraci n de ESETS siempre hay una secci n global y varias secciones agentes Los par metros en la secci n global se usan para definir las opciones de configuraci n del daemon de ESETS as como los valores predeterminados de las opciones de configuraci n del motor de an lisis de ESETS Los par metros de las secciones agentes se utilizan para definir las opciones de configuraci n de los agentes es decir m dulos usados para interceptar diversos tipos de flujo de datos en la computadora y o su entorno y preparar dichos datos para su an lisis Recuerde que adem s del n mero de par metros usados para la configuraci n del sistema tambi n existe una serie de r
17. e la t cnica de an lisis diferido explicada arriba pre senta un riesgo potencial para la computadora cuyo cliente solicit el archivo de tama o grande por primera vez El riesgo se debe a que a pesar de que la transferencia de datos del objeto infectado no se haya completado ciertas partes de los datos transferidos pueden contener c digo malicioso ejecutable Por eso ESET desarroll una reforma para el m todo de an lisis diferido llamada t cnica de an lisis parcial 5 3 2 T cnica de an lisis parcial La t cnica de an lisis parcial fue desarrollada para salvaguardar el m todo de an lisis diferido El funcionamiento b sico de la t cnica de an lisis parcial se basa en la noci n de que el tiempo re querido para analizar objetos grandes es insignificante comparado con el tiempo total para pro cesar el objeto Esta condici n se cumple en el caso de la transferencia HTTP de grandes objetos donde el tiempo requerido para la transferencia es considerablemente mayor que el del an lisis para detectar infiltraciones Esta apreciaci n nos permite realizar m s de un an lisis durante la transferencia de grandes objetos Una vez que se habilita el par metro 1o_partscan_enabled en la secci n http del archi vo de configuraci n de ESETS los objetos grandes son analizados para detectar infiltraciones du rante su transferencia en intervalos predefinidos y los datos analizados son enviados al punto de llegada disponible es decir al us
18. eglas que determinan la organizaci n del archivo Para familiarizarse con esta informaci n consulte las p ginas del manual esets cfg 5 esets_daemon 8 as como otras p ginas sobre agentes relevantes ETCDIR certs Este directorio se utiliza para guardar los certificados usados por la Interfaz WWW de ESETS para la autenticaci n ver la p gina esets_wwwi 8 para m s detalles ETCDIR J license Este directorio se utiliza para guardar la s clave s de licencia que Ud ha adquirido de su vendedor El residente daemon de ESETS siempre se dirigir s lo a este directorio para confirmar la validez de la clave de licencia a menos que sea redefinido desde el par metro lic dir en el archivo de configuraci n de ESETS EETCDIRE scripts license_warning_script Este script si se habilita desde el par metro license_warn_enabled en el archivo de confi guraci n de ESETS se ejecuta durante los 30 d as anteriores al vencimiento de la licencia del producto Se utiliza para enviar notificaciones por correo electr nico sobre la fecha de vencimiento al administrador del sistema ETCDIR scripts daemon_notification_script Este script si se habilita desde el par metro exec_script en el archivo de configuraci n de ESETS se ejecuta en caso de que el sistema anti virus haya detectado una infiltraci n Se utiliza para enviar notificaciones por correo electr nico sobre la detecci n al administrador del sistema ETCDIR temp
19. en disco r gido y 32MB de memoria Opera sin problemas con las versiones 2 2 x 2 4 x y 2 6 x del n cleo kernel del SO Linux y tambi n con las versiones 5 x y 6 x del n cleo kernel de FreeBSD Desde peque os servidores de oficina hasta servidores para proveedores de servicios de Internet con miles de usuarios el sistema proporciona el rendimiento y la escalabilidad que se esperan de una soluci n basada en UNIX y la inigualable seguridad de los productos marca ESET Cap tulo 2 Terminolog a y abreviaciones A continuaci n exponemos brevemente los t rminos y abreviaciones utilizados en este docu mento Recuerde que en este documento en formato PDF se reserva el uso de la letra negrita para los nombres de componentes del producto y en este cap tulo para abreviaciones y t rminos nuevos Tambi n tenga en cuenta que los t rminos y abreviaciones explicados en este cap tulo aparecer n en cursiva en el resto del documento ESETS ESET Security Seguridad es el acr nimo que abarca todos los productos de seguridad desa rrollados por ESET spol s r o para los sistemas operativos Linux y BSD Tambi n es el nombre o parte del nombre del paquete de programas que contiene los diversos productos RSR Es la abreviaci n de RedHat Novell SuSE Ready Tambi n soportamos la variante del producto llamada RedHat Ready y Novell SuSE Ready La diferencia con la versi n est ndar de Linux es que el paquete RSR re ne
20. ente el m dulo para que atienda un puerto predeterminado y redirija los paquetes IP originados en la red seleccionada y con el puerto de destino HTTP o FTP hacia el puerto atendido por esets_ http o esets_ftp respectivamente Esto significa que s lo ser n analizados los pedidos enviados originalmente al puerto de destino HTTP o FTP Si tambi n le interesa analizar otros puertos habr que asignar reglas equivalentes para redirigir los paquetes respectivos Recuerde que el instalador muestra por defecto todos los pasos que va a realizar y tambi n crea una copia de seguridad de la configuraci n existente para que pueda ser restaurada m s adelante si llega a ser necesario Los pasos detallados de la utilidad de instalaci n para todos los escenarios posibles se describen en el ap ndice A de este documento ESET Gateway Security 5 2 Configuraci n manual de proxy HTTP El La configuraci n manual de proxy ver imagen 5 2 se caracteriza por especificar en forma expl cita la direcci n y el puerto atendidos por el proxy padre en la configuraci n del cliente que utiliza el proxy Imagen 5 2 Esquema de ESET Gateway Security con un proxy configurado manualmente Eset Gateway security Proxy Cach En este caso el servidor proxy en general modifica los pedidos y o respuestas transmitidos es decir act a de manera no transparente El soporte para proxy de configuraci n manual de esets_ http fue probado con una amplia variedad
21. fw con el SO BSD la regla es la siguiente ipfw add fwd 192 168 1 10 8080 tcp fromanytoany 80 via if0 in A 2 Configuraci n de ESETS para analizar comunicaciones FTP modo transparente El an lisis de la comunicaci n FTP se lleva a cabo usando el daemon esets_ftp En la secci n ftp del archivo de configuraci n de ESETS ingrese los siguientes par metros agent_enabled yes listen_addr 192 168 1 10 listen_port 2121 donde listen_addr es la direcci n de la interfaz de red local llamada ifO Luego reinicie el daemon de ESETS El siguiente paso consiste en redirigir todos los pedidos FTP a esets_ftp En el caso del filtrador del protocolo IP provisto por ipchains la regla apropiada es ipchains A INPUT p tcp i if0 dport 21 j REDIRECT 2121 Si dicho mecanismo es provisto por la herramienta administrativa de iptables la regla es iptables t nat A PREROUTING p tcp i if0 dport 21 j REDIRECT to ports 2121 yen caso de que se utilice la herramienta ipfw con el SO BSD la regla es la siguiente ipfw add fwd 192 168 1 10 2121 tcp from any to any 21 via if0 in ESET Gateway Security Ap ndice B Licencia de PHP La Licencia de PHP versi n 3 01 Copyright c 1999 2006 The PHP Group Todos los derechos reservados La redistribuci n y el uso en formas fuente y o binaria con o sin modificaciones est n permitidas siempre que se cumplan las siguientes condiciones 1 Las redistribuciones de
22. idad el equipo de ESET recopila las definiciones de virus en forma continua de todas partes del mundo Como los patrones nuevos pueden ser agre gados a la base de datos en intervalos muy reducidos se recomienda realizar las actualizaciones con regularidad Recuerde que el daemon de ESETS es capaz de llevar a cabo la actualizaci n peri dica del sistema una vez que la opci n de configuraci n av update perio especificada en la secci n update del archivo de configuraci n de ESETS y el daemon se hayan habilitado y est n ejecut ndose 1 7 2 Descripci n del proceso de actualizaci n de ESETS El proceso de actualizaci n consiste en dos partes Primero se replican todos los m dulos relevantes de compilaci n previa desde el servidor ESET Los m dulos de compilaci n previa son descargados por defecto dentro del directorio BASEDIR mirror Recuerde que la ruta del directorio de replicaci n puede modificarse usando la opci n de configuraci n mirror_dir en la secci n update del archivo de configuraci n de ESETS Los m dulos de ESETS se dividen en dos categor as la categor a motor y la categor a compo nente Los m dulos de la categor a componente en la actualidad s lo pueden utilizarse con el SO MS Windows Hoy en d a son soportados los siguientes tipos de m dulos correspondientes a la categor a motor m dulos de an lisis b sicos prefix engine que contienen bases de datos con firmas de virus m dulos de
23. lates http_ html example Estos archivos son plantillas html que el m dulo esets_http utiliza cuando el an lisis no tuvo xito por diversos motivos El significado de cada archivo individual es el siguiente Las siguientes plantillas se usan al detectar que el objeto descargado est infectado content of http_header_infected html list of infiltrations found by the scanner content of http_footer_infected html Las siguientes plantillas se usan cuando el objeto descargado no pudo ser analizado content of http_header_not_scanned html list of object scanned by the scanner content of http_footer_not_scanned html cap tulo 4 Estructura del producto 13 a Cap tulo 5 Integraci n con los servicios de Puerta de Enlace de Internet ESET Gateway Security protege los servicios HTTP y FTP de las organizaciones contra virus gusanos troyanos spyware programas esp a phishing suplantaci n de identidad y otras amenazas en el nivel de los Servidores de Puerta de Enlace de Internet Con el t rmino Servidor de Puerta de Enlace nos referimos a la capa de red capa 3 del modelo ISO OSI es decir los routers En este cap tulo describimos los procesos de integraci n del producto con los servicios mencionados 5 1 Configuraci n transparente de proxy HTTP FTP La configuraci n transparente de proxy se basa en el mecanismo est ndar de enrutamiento como se muestra en la siguiente imagen Imagen 5 1 Esquema de ESET Gateway Securi
24. mplo mostramos c mo crear la lista negra y la lista blanca para esets_ http configurado para analizar el proxy HTTP Recuerde que para este prop sito utilizaremos el archivo de configuraci n especial mencionado anteriormente Para crear una lista negra que pueda ser utilizada por esets http debemos crear la siguien te secci n grupal dentro del archivo de configuraci n especial esets http spec cfg presentado en la secci n anterior black list action_on_processed reject El pr ximo paso consiste en agregar un servidor HTTP al grupo de la lista negra black list Para ello debemos crear la secci n especial aaa bbb ccc ddd parent_id black list donde aaa bbb ccc dd es la direcci n IP del servidor agregado a la lista negra black list Re cuerde que con esta configuraci n todo el tr fico HTTP referente al servidor especificado ser rechazado es decir el servidor estar bloqueado cap tulo 6 Mecanismos importantes de ESET Gateway Si queremos crear la lista blanca white list que pueda ser utilizada por esets http debemos crear la siguiente secci n grupal dentro del archivo de configuraci n especial esets http spec cfg presentado en la secci n anterior white list action_on_processed accept av_enabled no Como es de esperar se aceptar n los servidores HTTP agregados a esta lista 6 4 Sistema de Envio de Muestras El sistema de env o de muestras es una tecnolog a in
25. on su contenido La estructura de ESET Gateway Security se muestra en la imagen 4 1 El sistema est formado por los siguientes componentes Imagen 4 1 Estructura de ESET Gateway Security sete fip NOD32 00X license esets_update templates M DULOS PRINCIPALES La parte principal de ESET Gateway Security consiste en el daemon de ESETS esets_daemon El daemon utiliza la biblioteca de interfaz de programas de aplicaci n API libesets so y los m dulos ejecutables nod32 00X de ESETS para realizar las tareas b sicas del sistema an lisis mantenimiento de los procesos agentes daemon mantenimiento del sistema de env o de muestras registros notificaci n etc Por favor consulte la p gina del manual esets_daemon 8 para m s detalles M DULOS AGENTES El prop sito de los m dulos agentes de ESETS es integrar a ESETS con el entorno del servidor Linux BSD En este manual encontrar un cap tulo especial dedicado al tema M DULOS DE ACTUALIZACI N La utilidad de actualizaci n es una parte importante del sistema Fue desarrollada para actualizar los m dulos ejecutables de ESETS que contienen por ejemplo bases de datos con firmas de virus soporte de ficheros soporte de heur stica avanzada etc En este documento encontrar un cap tulo especial dedicado al tema M DULOS DE CONFIGURACI N La correcta configuraci n es la condici n principal para el buen funcionamiento del sistema Es por eso que en el resto
26. r comunicaciones HTTP modo transparente A 2 Configuraci n de para analizar comunicaciones m odostranspatente ridad cai 34 Ap ndice A Licencia de PHP enseessensenssussenssnssenssnssnnsnnssnssnssenssnssenssnssnnssnsnne 35 ESET Gateway Security Primera Edici n Fecha de publicaci n 13 de marzo de 2007 Copyright O 2007 ESET spol s r o ESET Gateway Security fue desarrollado por ESET spol s r o Para mayor informaci n visite el sitio web www eset com Todos los derechos reservados Queda prohibida la reproducci n total o parcial de este documento as como su almacenamiento en sistemas de recuperaci n o su transmisi n en ninguna forma o por ning n medio electr nico mec nico fotoco piado escaneado o cualquier otro sin el permiso previo y por escrito del autor ESET spol s r o se reserva el derecho de modificar cualquiera de los programas de aplicaci n aqu descriptos sin previo aviso Este producto utiliza el lenguaje PHP disponible en forma gratuita en la p gina web http www php net software En 2 ESET Gateway Security Cap tulo 1 Introducci n Estimado usuario Ud acaba de adquirir ESET Gateway Security probablemente el mejor sistema de seguridad en los sistemas operativos Linux y BSD Como descubrir muy pronto el sistema que utiliza el motor de an lisis de ltima tecnolog a ESET posee una velocidad de b squeda y tasa de detecci n de virus hasta el momento insupe
27. rables y el uso de recursos es tan bajo que lo convierte en la elecci n ideal para cualquier servidor con SO Linux o BSD En el resto del cap tulo analizaremos las caracter sticas principales del sistema Los algoritmos del motor de an lisis del antivirus ESET proveen la mayor tasa de detecci n de virus y las b squedas m s veloces ESET Gateway Security est preparado para trabajar en unidades con un procesador o con procesadores m ltiples Incluye una heur stica nica y avanzada para la detecci n de gusanos y componentes de puerta trasera back doors en Win32 Los archivos autoextra bles no requieren el uso de programas externos Para incrementar la velocidad y la eficiencia del sistema su arquitectura se basa en un programa residente activo daemon donde se env an todos los pedidos de an lisis El sistema soporta la configuraci n selectiva para la identificaci n diferenciada del usuario o cliente servidor Se pueden configurar hasta seis niveles de registraci n de eventos logging para obtener informaci n sobre la actividad del sistema y las infiltraciones La instalaci n de ESET Gateway Security no requiere bibliotecas ni programas externos excepto la biblioteca est ndar de C LIBC El sistema puede configurarse para notificar a una persona determinada en caso de que se detecte una infiltraci n Para un funcionamiento eficiente ESET Gateway Security requiere tan solo 16MB de espacio
28. ro user config ingresando la ruta al archivo de configuraci n especial donde se guardar la confi guraci n individual En el siguiente ejemplo hacemos referencia al archivo de configuraci n es pecial esets http spec cfg ubicado dentro del directorio de configuraci n de ESETS http agent_enabled yes listen_addr 192 168 1 10 listen_port 8080 action_on_processed accept user config esets http spec cfg Ona vez gue se realiz la configuraci n especial a la gue se hace referencia dentro de la secci n http debemos crear el archivo en el directorio de configuraci n de ESETS y proporcionarle una con figuraci n individual apropiada El siguiente ejemplo muestra la configuraci n individual del par metro action_on_processed para el usuario cuya direcci n de IP es 192 168 1 40 1192 168 1 40 action_on_processed reject El nombre de la secci n del encabezado contiene la identificaci n del usuario HTTP para el cual se ha creado una configuraci n individual A continuaci n el cuerpo de la secci n contiene par metros individuales espec ficos para ese usuario De esta manera con la configuraci n perso nalizada el tr fico HTTP de todos los usuarios de la red local ser procesado es decir analizado para detectar infiltraciones con excepci n del usuario cuya direcci n de IP es 192 168 1 40 que ser rechazado es decir estar bloqueado 6 3 Lista negra y lista blanca al En el siguiente eje
29. soporte de ficheros prefix archs que soportan varios formatos de ficheros del sistema de archivos m dulos de heur stica avanzada prefix advheur que contienen la implementaci n del m todo de heur stica avanzada para detecci n de virus y gusanos m du los de an lisis de gusanos en archivos comprimidos prefix pwscan utilizados en el SO MS Windows m dulos para utilidades prefix utilmod utilizados en el SO MS Windows y m dulos para soporte de tecnolog a ThreatSense NET prefix charon Estos m dulos son imprescindibles en consecuencia todos ellos son descargados autom ticamente durante cada proceso de descarga Por el contrario los m dulos de la categor a componente dependen de la plataforma y de la confi guraci n del idioma por lo tanto la descarga de los m dulos de la categor a componente es opcional Luego de la descarga de los m dulos de compilaci n previa tambi n se crea el archivo update ver en el directorio de r plica Este archivo contiene la informaci n sobre los m dulos guardados actualmente en la r plica reci n creada La r plica reci n creada sirve entonces como servidor completamente funcional de descarga de m dulos y se puede utilizar para crear nuevas r plicas subordinadas sin embargo para ello ser necesario cumplir con algunas condiciones adi cionales En primer lugar debe haber un servidor HTTP instalado en la computadora desde donde los m dulos puedan ser descargados En segundo lugar los m
30. tas hasta el momento es que ESET Gateway Security se instala en el puerto de enlace HTTP entre el proxy cach Squid Web Proxy en este ejemplo e Internet Por lo tanto todas las respuestas HTTP que ingresan a la red primero son analizadas para detectar infiltraciones y luego son almacenadas en el cach correspondiente de red es decir todos los objetos iniciales que fueron solicitados una vez y que est n presentes dentro de un proxy cach ya fueron analizados contra virus y no requieren an lisis adicionales cuando son solicitados nuevamente En el siguiente ejemplo configuraremos esets_http para que atienda el puerto 8080 del servi dor de puerta de enlace cuya direcci n IP de red local es 192 168 1 10 especificando los siguientes par metros dentro de la secci n http del archivo de configuraci n de ESETS agent_enabled yes listen_addr 192 168 1 10 listen_port 8080 Recuerde que el par metro listen_addr puede configurarse como el nombre del host visible desde la red local o tambi n puede usarse la direcci n 0 0 0 0 para permitir que esets_http atienda todas las interfaces En el ltimo caso hay que tomar precauciones ya que los usuarios ajenos a la red local tambi n tienen acceso al analizador de virus HTTP a menos que se tomen medidas de seguridad adicionales para prevenirlo Si desea configurar Squid para que utilice esets_http como proxy padre deber insertar las si guientes l neas en el archivo de configuraci
31. teligente ThreatSense NET que permite detectar los objetos infectados descubiertos por el m todo de heur stica avanzada y enviarlos al servidor del sistema de env o de muestras Todas las muestras de virus que ingresan en el sistema de env o de muestras ser n procesadas por el equipo del departamento de laboratorio de virus de ESET y si es necesario agregadas a la base de datos de virus de ESET NOTA DE ACUERDO A NUESTRO CONTRATO DE LICENCIA AL HABILITAR EL SISTEMA DE ENV O DE MUESTRAS UD ACCEDE A QUE LA COMPUTADORA Y O PLATAFORMA SOBRE LA QUE ESETS_DAEMON EST INSTALADO RECOPILE INFORMACI N QUE PUEDE INCLUIR INFORMACI N PERSONAL SOBRE UD Y O EL USUSARIO DE LA COMPUTADORA Y MUESTRAS DE VIRUS U OTRAS AMENAZAS DETECTADAS Y LAS ENV E A NUESTRO LABORA TORIO DE VIRUS ESTA OPCI N SE ENCUENTRA POR DEFECTO DESABILITADA S LO USAREMOS LA INFORMACI N Y DATOS RECIBIDOS PARA ESTUDIAR LA AMENAZA Y DAREMOS PASOS RAZONABLES PARA PRESERVAR LA CON FIDENCIALIDAD DE DICHA INFORMACI N Para activar el sistema de env o de muestras debe iniciarse el cach del sistema de env o de muestras Esto se logra habilitando la opci n de configuraci n samples_enabled en la secci n global del archivo de configuraci n de ESETS Para activar el proceso de env o de muestras a los servidores del laboratorio de virus de ESET tambi n es necesario habilitar el par metro samples_send_enabled en la misma secci n El usuario decidir si desea envi
32. ty con un proxy transparente INTERNET Eset Gateway Security 1 ciente Cliente La configuraci n se lleva a cabo autom ticamente cuando se definen las tablas de enruta miento IP del n cleo para cada usuario local de red Estas tablas de enrutamiento se utilizan para establecer rutas est ticas para el servidor de puerta de enlace de red predeterminado router Recuerde que esta acci n se realiza autom ticamente en redes DHCP Si se usa este mecanismo todas las comunicaciones HTTP o FTP con servidores externos ser n enrutadas a trav s del servidor de puerta de enlace de red donde deber estar instalado ESET Gateway Security para que pueda analizar dichas comunicaciones y detectar posibles infiltraciones Con este prop sito se ha desarrollado un filtrador gen rico de ESETS para HTTP o FTP esets_http o esets_ftp respectivamente Si desea configurar ESET Gateway Security para analizar los mensajes HTTP o FTP enrutados a trav s del servidor de puerta de enlace de red ingrese el siguiente comando esets_setup Siga las instrucciones suministradas por el script Cuando aparezca la secci n de instalaciones y desinstalaciones disponibles Available installations un installations elija la opci n HTTP o FTP para que le muestre las opciones de instalaci n y desinstalaci n install uninstall apropiadas para el m dulo Seleccione la opci n install De esta forma se configurar autom ticam
33. uario o al servidor Con este m todo no es posible que lleguen infiltraciones a la computadora cuyo usuario solicit el objeto infectado de gran tama o porque se garantiza que cada porci n de los datos enviados es segura Se ha comprobado que en circunstancias normales cuando la velocidad de conexi n de la Puerta de Enlace de red local es mayor que la velocidad de conexi n de la Puerta de Enlace a Internet el tiempo requerido para procesar la transferencia de grandes objetos con la t cnica de an lisis parcial es aproximadamente el mismo que el requerido al usar s lo el m todo de an lisis diferido est ndar cap tulo 5 Integraci n con los servicios de Pue Enlace de Internet 19 En M 5 4 Filtro plugin de ESETS para SafeSquid Proxy Cache En las secciones anteriores hemos descripto la integraci n de ESET Gateway Security con los servicios HTTP y FTP de Puerta de Enlace de Internet usando esets_http y esets_ftp Aunque los m todos mencionados se pueden aplicar para los clientes m s comunes entre los que se en cuentra el conocido programa proxy para filtrar contenidos de Internet SafeSquid http www safesquid com para este caso en particular ESET Gateway Security ofrece una forma alternativa para proteger los servicios de Puerta de Enlace usando el m dulo esets_ssfi so desarrollado con este prop sito 5 4 1 Pautas generales de uso El m dulo esets_ssfi so es un plugin cuyo objetivo es acceder a todos los o
34. udo analizar para realizar las acciones perti nentes Si se elige la acci n accept confirmar como respuesta a cualquiera de las tres opciones anteriores o la opci n av enable esta deshabilitada se permite el acceso al objeto de lo contrario el objeto se bloquea 6 2 Configuraci n Espec fica de Usuario El producto implementa el mecanismo de Configuraci n Espec fica de Usuario para otorgarle practicidad al administrador por medio de una mayor libertad de configuraci n El mecanismo permite definir los par metros de los an lisis efectuados por el anti virus ESETS en forma selectiva para la identificaci n del usuario servidor Recuerde que podr encontrar una descripci n m s detallada de esta funci n en la p gina del manual esets cfg 5 y en las dem s p ginas a las que all se hace referencia Por lo tanto en esta secci n s lo daremos un ejemplo conciso sobre la configuraci n espec fica de usuario En el caso de que usemos esets_http para controlar el tr fico HTTP en el puerto 8080 del servidor de puerta de enlace con la direcci n IP local de red 192 168 1 10 la configuraci n del m dulo depende de la secci n de configuraci n http en el archivo de configuraci n de ESETS La secci n es la siguiente http agent_enabled yes listen_addr 192 168 1 10 listen_port 8080 action_on_processed accept Para establecer la configuraci n de los par metros individuales hay que definir el par met
35. uraci n y mantenimiento de ESET Gateway Security No obstante la tarea de redactar un manual es un proceso que nunca se finaliza Siempre quedar n temas que podr an haber sido explicados con mayor detalle o que directamente se han excluido Por lo tanto si encuentra omisiones o inconsistencias en este documento por favor informe el problema a nuestro centro de atenci n http www eset com support Deseamos poder ayudarlo a resolver cualquier tipo de problema sobre el producto Ap ndice A Descripci n del proceso de configuraci n de ESETS A 1 Configuraci n de ESETS para analizar comunicaciones HTTP modo transparente El an lisis de la comunicaci n HTTP se lleva a cabo usando el daemon esets_http En la secci n http del archivo de configuraci n de ESETS ingrese los siguientes par metros agent_enabled yes listen_addr 192 168 1 10 listen_port 8080 donde listen_addr es la direcci n de la interfaz de red local llamada ifO Luego reinicie el daemon de ESETS El siguiente paso consiste en redirigir todos los pedidos HTTP a esets_http En el caso del filtrador del protocolo IP provisto por ipchains la regla apropiada es ipchains A INPUT p tcp i if0 dport 80 j REDIRECT 8080 Si dicho mecanismo es provisto por la herramienta administrativa de iptables la regla es iptables t nat A PREROUTING p tcp i if0 dport 80 j REDIRECT to ports 8080 y en caso de que se utilice la herramienta ip
Download Pdf Manuals
Related Search